KFP Fraud Report 2019 Web
KFP Fraud Report 2019 Web
Fraud
Prevention
2019
Отчёт о кибермошенничестве
на основе данных Kaspersky
Fraud Prevention
Подробнее на
kfp.kaspersky.com
Содержание
Кибермошенничество в 2019 году 2
Credential stuffing 30
2
Как всегда, сначала нужно разобраться с базовыми потребностями и обеспечить
управление специфичными для организации рисками. Требуется внедрить необ-
ходимые технологии (защита конечных устройств, обнаружение вредоносного ПО,
управление доступом и др.), а также процессы, обеспечивающие эффективность
этих технологий (реагирование на инциденты, управление жизненным циклом ПО,
управление цепочками поставок, установка исправлений, шифрование и др.).
3
Законодательство о безопасности
финансовых организаций: что важно
знать и как этому соответствовать
Европа
Прошло два года с тех пор, как 13 января 2018 г. вступила в силу вторая Директива
о платёжных услугах (PSD2). Возникло много вопросов, в частности, как и когда
применяется строгая аутентификация клиента и является ли предоставление
третьим сторонам доступа к банковским счетам через API или другие интерфейсы
чем-то, что может нарушить устоявшуюся экосистему (или принести ей пользу).
PSD2 нацелен на повышение PSD2 вступил в полную силу 14 сентября 2019 года, но из-за задержек во внедре-
безопасности экосистемы нии Европейский банковский орган разрешил продление сроков строгой аутенти-
с помощью дифференцированной фикации клиентов (SCA).
аутентификации различных сторон
при доступе к платёжным счетам.
SCA основан на использовании двух или более факторов, классифицированных как:
• знание (то, что знает только пользователь);
• владение (то, чем обладает только пользователь);
• свойственность (что-то, что типично для пользователя).
4
Наши рекомендации: Россия
• Осуществлять контроль иденти- Большинство мошеннических операций связаны с выводом похищенных средств,
фикатора устройства, с которого уходом от налогообложения, отмыванием доходов, полученных преступным путем
происходит доступ клиента к автома-
для финансирования терроризма и другой нелегальной деятельности.
тизированной системе, на предмет
его совпадения с идентификаторами
устройств других клиентов кредитной Последствия этих действий негативно влияют на бизнес финансовых организа-
организации, в том числе тех кли- ций, нанося непосредственный репутационный и финансовый ущерб компании
ентов, счета которых были закрыты и ее клиентам, а также привлекая внимание регулирующих органов.
в рамках реализации «противолегали-
зационных» мероприятий. Несоблюдение установленных регламентов влечет за собой штрафные санкции,
ограничение в предоставлении операционных услуг, таких как прием вкладов
• Реализовать механизмы проверки от физических лиц, выдача кредитов юридическим лицам.
операций на предмет участия в
отмывании доходов, полученных не-
легальным путем, не всегда напрямую При подозрении, что операция осуществляется без согласия клиента, банку кри-
связанных с кражей денег с расчётных тически важно получить информацию незамедлительно. Даже при условии, что
счётов. введен верный пин-код или использована электронная подпись, существует риск,
что операция осуществляется злоумышленником. Kaspersky Fraud Prevention
При осуществлении финансовых опе- автоматически проводит анализ характера и параметров устройства, окружения,
раций одним из элементов, о котором места, времени осуществления операции, поведения клиента и других параме-
необходимо обладать идентифи- тров и выявляет признаки, нетипичные для клиента.
кационной информацией, является
IP-адрес, с которого клиент получает
доступ к системе дистанционного На основе правил и машинного обучения антифрод-система формирует готовые
обслуживания. инциденты по связанным устройствам, задействованным в кросс-организацион-
ных и международных схемах отмывания денежных средств.
• Осуществлять предварительную
проверку устройства на предмет Глобальная база IP-адресов «Лаборатории Касперского» определяет связь кон-
наличия вредоносного ПО. При кретного адреса с мошеннической активностью. Если таковая осуществлялась,
обнаружении вредоносного кода адрес помечается как подозрительный и соответствующая информация переда-
необходимо предотвратить его даль- ется в банковские системы мониторинга.
нейшее распространение и устранить
последствия его воздействия.
Наличие вредоносного кода или банковского трояна пользователя является
• Внедрить механизмы для обнару- высоким уровнем риска для оценки сессии клиента, так как подобное ПО может
жения мошеннических платежей использоваться для подмены действий авторизованного пользователя – перехва-
с возможностью загрузки фидов, та кодов в SMS-сообщениях и push-уведомлений, подмены платёжных поручений
полученных от ФинЦЕРТ. и пр. Kaspersky Fraud Prevention включает передовые запатентованные техноло-
гии, позволяющие распознать различные виды вредоносного ПО для финансовых
• Уведомлять Банк России обо всех систем, фишинг, поддельные приложения, а также обеспечивает безопасное
выявленных и потенциально готовя-
щихся инцидентах, мошеннических
соединение и сохранность данных.
аккаунтах и устройствах, связанных
с нарушением требований к обе- В случае обнаружения вредоносного кода Kaspersky Fraud Prevention в режиме
спечению защиты информации при реального времени передает информацию о его наличии в банковские системы
переводе средств через платёжную через API или отображает веб-консоли.
систему Банка России, в том числе
о несанкционированных переводах Kaspersky Fraud Prevention позволяет обнаруживать мошенническую активность
денежных средств. в приложениях веб- и мобильного банкинга, в том числе компрометацию, перере-
гистрацию учётной записи и участие устройства в отмывании денежных средств.
• Анализировать факты получения
лицами, выступающими от имени В решении реализована возможность загрузки «чёрных» списков мошеннических
клиента (далее – представители), идентификаторов устройств, IP-адресов, номеров SIM-карт, полученных из других
криптографических ключей и ау- ресурсов, в том числе и от ФинЦЕРТ.
тентификационной информации для
доступа в системы ДБО на предмет Сегодня обсуждается вопрос сбора более подробной информации об устрой-
выявления случаев представления ствах пользователей при работе с ДБО. Расширенный отпечаток устройства
такими лицами интересов других Kaspersky Fraud Prevention содержит более 100 уникальных параметров для
клиентов, в том числе тех клиентов, веб-приложения и около 140 для мобильных устройств, обеспечивая полноту
счета которых были закрыты в рамках
собираемой информации. Все данные не являются персональными согласно рос-
реализации «противолегализацион-
ных» мероприятий. сийской классификации. 2
2
Выдержки из основных регулирующих документов
(Основные документы: 115-ФЗ; 161-ФЗ, 167-ФЗ, 375-П; 382-П; ГОСТ Р 57580.1-2017)
5
Общая статистика на основе данных
Kaspersky Fraud Prevention
Отчёт о мошенничестве Kaspersky Fraud Prevention основан на инцидентах, связанных с кибер-
преступностью, и данных, обнаруженных Kaspersky Fraud Prevention с января по декабрь 2019 года
посредством тщательного анализа поведения потребителей. В данном отчёте мы приведем примеры
основных угроз, с которыми сталкиваются компании, проанализируем современные тенденции
кибермошенничества с акцентом на проблемах кибербезопасности для банковского сектора и элек-
тронной коммерции, а также продемонстрируем наши основные выводы.
Risk-Based Authentication –
метод аутентификации, основанный
Инциденты, сформированные Вердикты Risk-Based
на оценке различных свойств Kaspersky Fraud Prevention Authentication
и параметров онлайн-сессии
пользователя и устройства,
с которого осуществляется
доступ.
6
Анализ событий сессии Анализ устройства и окружения
с помощью технологий
Kaspersky Fraud Prevention
Использует глобальное присутствие Лаборатории Касперского, чтобы
идентифицировать «хорошие» устройства и использовать эти данные для ау-
тентификации пользователя. На основании глобальной репутации устройств,
IP-адресов, геолокационных показателей и других данных любой атрибут,
некогда вовлечённый в мошеннические действия, проактивно обнаруживается
и отображается как подозрительный или относящийся к фроду.
Поведенческий анализ
Исследует, что пользователь нажимает, как он ведет себя во время входа в личный
кабинет и всей сессии. Также рассматриваются типичные элементы навигации,
временные показатели и другие аспекты. Это позволяет сформировать профиль
нормального, легитимного поведения и на ранней стадии выявлять любую ано-
мальную или подозрительную активность даже на стадии логина.
Поведенческая биометрия
7
Тенденции кибермошенничества
в 2019 году
Общие тенденции в сфере цифрового мошенничества в 2019 году остались прежними. Мошенники
всё так же нацелены на похищение денежных средств посредством кражи учётных записей пользо-
вателей, по-прежнему используют в своих целях программы лояльности, находя лазейки в акциях
и распродажах, и используют цифровые каналы обслуживания для отмывания денежных средств.
?
?
8
Наступил век «бото-человека»
Мошенники начали использовать тонкие настройки поведения ботов, что делает
их совсем неотличимыми от людей. Если раньше компьютерным программам
предписывалось следовать из пункта А в пункт В, то усовершенствованные боты
отклоняются от прямой линии, «трясут» мышкой и показывают свойственную
людям скорость передвижения курсора. С их помощью можно массово скупать
билеты на спортивные турниры или обогащаться за счёт программ лояльности
интернет-магазинов. С появлением очеловеченных ботов специалисты вынуждены
искать новые способы защиты от мошеннических схем с их участием.
Боты, которые мы наблюдали пять лет назад, когда только появилась пассивная био-
метрия, намного примитивнее нынешних: раньше они просто перемещались из точки
А в точку В.
9
Простой бот, исполняющий заданный сценарий выполнения действий А В С,
при этом между шагами возвращается в исходную точку с координатами x = 0
и y = 0, подобно возврату каретки печатной машинки.
10
Теперь же появилось множество настроек – например, характеристика силы
притяжения курсора. Указывается не только скорость перемещёния, но и степень
отклонения от прямой, а также замедление движения в некоторых точках Таким об-
разом, у злоумышленников появилась возможность тонкой настройки поведения
ботов, которые, как известно, могут применяться как для помощи пользователям,
так и во вред им.
11
На рис. 6 приведён интерфейс для настройки бота 4-го поколения. Красной рамкой
выделены настройки «Скорость», «Гравитация» и «Отклонение», которые использу-
ются с целью имитации поведения рядового пользователя.
263,77% – увеличение использования С помощью такого очеловеченного бота можно скупить билеты на олимпиады и
средств автоматизации чемпионаты мира по футболу для последующей перепродажи, заполучить и из-
в мошеннических сессиях расходовать чужие мили для бесплатных путешествий авиатранспортом, а чаще –
просто обогатиться за счёт программ лояльности разных интернет-магазинов.
Если такая программа предполагает начисление 1 тыс. баллов за то, что пользова-
тель интернет-магазина приводит друга, то миллион ботов могут превратить эту
программу лояльности в успешное средство для обогащения. <…>
12
Однако оптимальная защита, как считают все опрошенные эксперты, должна стро-
иться на отслеживании и других показателей, в частности уникальности устройства,
IP-адреса и навигации.3
Unsupervised UEBA (User and Как трафик «видят» стандартные системы? (рис. 7) Исходя из полученной информа-
Entity Behavior Analytics) ции по сессиям, пользователям и устройствам, компании:
как один из методов анализа • оценивают посещаемость;
• оценивают конверсию;
трафика на предмет аномалий • оценивают отдачу от акций и распродаж;
• анализируют целевую аудиторию;
• планируют запуск новых программ.
3
https://kas.pr/kf4a
13
Ожидается, что в будущем боты будут ещё больше функционировать на базе ис-
кусственного интеллекта. Это означает, что в подобной гонке вооружений будущее
за алгоритмами детектирования, имеющими в основе своего функционирования
искусственный интеллект, в частности технологии машинного обучения.
Цифровые отпечатки
Современные антифрод-системы противостоят мошенничеству в интернете,
Для анализа может быть максимально используя информацию о пользователе и его устройстве. Цель –
использована следующая система должна выявить компрометацию учётной записи. Чтобы отличить мошен-
информация: ника от добропорядочного покупателя, система в том числе проверяет «цифровой
отпечаток» устройства пользователя и его поведение. Если в полученной инфор-
• IP-адрес (внешний и локальный); мации не будет выявлено критичных аномалий, то система не будет бить тревогу.
• информация об экране (разре-
шение, размер окон); Всего для выявления аномалий и мошенничества с учётной записью, с которой
• версия прошивки; пользователь заходит в онлайн-магазин или платёжную систему, может быть со-
• версия операционной системы; брано и обработано более ста атрибутов по одному устройству.
• установленные в браузере
расширения; В разных видах бизнеса применение «цифрового двойника» может привести
• часовой пояс; к повышению случаев успешного мошенничества. Если пользовательская сессия
• идентификатор устройства; под руководством мошенника будет считаться легитимной и действия пользова-
• информация об аккумуляторе; теля (например, попытка оплатить кредитной картой товар) не будут подвергнуты
• данные об аудиосистеме; дополнительным проверкам, злоумышленник сможет беспрепятственно вывести
• информация о GPU; денежные средства.
• данные анализа пакетов TCP/IP;
• данные пассивного анализа В случае же электронной торговли рынки «цифровых двойников» и «конфиг-шопы»
SSL/TLS-трафика; (онлайн-магазины конфигурационных файлов) могут увеличить заработок мошен-
• cookie-файлы; ников на программах лояльности за счёт того, что мошенникам становится проще
• пассивная биометрия; прятать результаты своих трудов. На рис.9 мы видим кластер, выявленный антиф-
• навигационный анализ; род-системой, в случае, когда мошенники не использовали цифровых двойников.
• прочая информация. Результат использования программного обеспечения, поставляющего цифровых
двойников представлен на рис. 10.
14
10
Программное обеспечение,
поставляющее цифровых двойников
Одним из самых неприятных моментов является то, что один экземпляр «цифрово-
го двойника» упрощает доступ сразу нескольким онлайн-ресурсам (см. изображе-
ние рынка Genesis на рис. 11).
11
15
Genesis – Эксперты говорят, что рынок Genesis, который впервые появился в ноябре 2017 года,
это частный онлайн-магазин с доступом продолжает оставаться основным поставщиком украденных цифровых данных
только по приглашениям, где можно купить отпечатков. Сайт продает доступ к отдельным ботам, имея в виду не массивные бот-
украденные цифровые профили. Сейчас неты, а отдельные конечные точки, зараженные вредоносным ПО. В своем дебюте
здесь выставлено на продажу более компания утверждала, что может избежать мер по борьбе с мошенничеством, ис-
60 тыс. так называемых ботов. Такой бот пользуемых многими крупными банками и платёжными системами. В зависимости от
может включать цифровой отпечаток содержания данных цены на «цифровой отпечаток» могут достигать 200 долларов.
устройства (браузера), имена и пароли
пользователей на различных сайтах, фай- В целях удобства был создан плагин для браузера – Genesis Application, с помощью
лы cookies, реквизиты банковских карт. которого мошенник, купивший отпечаток, может воссоздать онлайн «личность»
владельца данных.
12
4
Онлайн-магазин конфигурационных файлов Linken Sphere
16
13
14
17
Ещё один ресурс, предоставляющий «цифровые отпечатки», – FingerprintSwitcher
(рис.15). Принцип его работы схож с Linken Sphere и Genesis в части создания
уникального «цифрового отпечатка». Цель применения всё та же – создание синте-
тических учётных записей.
15
16
17
18
Сводная информация* Поставщик Genesis Tenebris Bas
ML
(с англ. "Money Laundering") – Позиционирование – Анонимизация Автоматизация
отмывание денежных средств
Цена $60+ $500 за полгода $40 за 3 месяца
NAF
(с англ. - "New Account Fraud") – (некоторые $3 за реальный
создание синтетических учётных $200+) слепок
записей с целью мошенничества
Однако 2019 год можно назвать годом, в котором мошенники сделали очередной
шаг в совершенствовании своих инструментов.
Социальная инженерия
Цифровая кража мобильного устройства
(RAT: TeamViewer, AnyDesc)
Одной из наиболее распространённых схем мошенничества в 2019 году было
использование приложений со средствами удалённого доступа. При проведении
такой атаки пользователи полагают, что им звонит сотрудник банка с предло-
жением помочь уменьшить расходы на обслуживание карты или сообщает о
попытке взлома аккаунта. Далее клиенту предлагается установить на мобильное
устройство приложение, которое позволит мошеннику получить удалённый доступ
к устройству.
* https://kas.pr/u22d
19
Также нами было произведено исследование основных приложений, которые ис-
пользовались мошенниками в 2019 году. Как можно видеть из таблицы, мошенники
предпочитают такие приложения, как AnyDesk, Team Viewer, AirDroid и AhMyth для
удалённого управления устройствами пользователей с версиями Android 7.1 – 10.0.
Ярко-зелёным цветом выделены случаи, в которых возможен просмотр и удалён-
ное управление экраном пользователя, светло-зелёным – когда доступно зеркали-
рование (просмотр) экрана.
Samsung S9 9,0
Samsung S8 9,0
OnePlus 6 9,0
LG Nexus 5X 7,1
LG Nexus 5X 8,0
Elephone M2 8,1
Elephone M2 9,0
Для лучшего понимания масштабов атаки можно привести пример одного из бан-
ков, где Kaspersky Fraud Prevention выявил более 3000 пользовательских сессий
в месяц с применением инструментов удалённого администрирования. Kaspersky
Fraud Prevention обнаруживает подозрительные действия пользователя и вовремя
оповещает о попытках мошенничества банки и другие платформы предоставления
услуг и товаров онлайн.
20
Получение доверия при помощи
интерактивного голосового меню (IVR)
Ещё один инструмент, который кажется безвредным, но активно эксплуатиру-
ется мошенниками, – это создание интерактивного голосового меню с целью
получения второго фактора аутентификации. Мошенники аккуратно подбирают
лексику и используют голос робота, чтобы запрос на второй фактор выглядел мак-
симально убедительно и не вызывал у жертвы подозрений. Пользователи зачастую
воспринимают взаимодействие с роботом как более безопасное, чем общение
с человеком. В предзаписанных голосовых сообщениях жертву просят ввести код,
присланный в SMS или push-уведомлении. Как только жертва вводит код в тональ-
ном режиме на телефоне, информация передается на серверы мошенникам, а они
сразу же переводят денежные средства на подконтрольные счета, поскольку срок
действия второго фактора ограничен.
21
Работа под легендой: «Спасатель» и «Инвестор»
как виды социальной инженерии
Легенда 2 – «Инвестор» Ещё одна популярная легенда 2019 года – «Инвестор». Мошенники представля-
ются сотрудниками инвестиционной компании или инвестиционными консуль-
тантами банка. Обзванивая его клиентов, они предлагают им быстро заработать
путем инвестирования в криптовалюту либо в акции компаний напрямую со счёта
клиента без дополнительных обращений в отделение банка. Для предоставле-
ния инвестиционной услуги «инвестор» по аналогии со «спасателем» просит
потенциальную жертву сообщить код, присланный в SMS или push-уведомлении.
Инструментарий при этом такой же: IVR, RAT, SIP. Разница лишь в том, откуда
мошенники получают базу данных по клиентам. Сценарий «инвестор» использу-
ется, если потенциальная жертва ранее интересовалась приумножением своих
накоплений.
22
Отказ от паролей,
или «Passwordless»
Не принимая в расчёт тот факт, что система паролей использовалась ещё в Древ-
нем Риме, можно установить, что именно 1961 год был годом, когда CTSS (открытая
операционная система Compatible Time-Sharing System) от MIT ввела использо-
вание команды Login для запроса пароля. При вводе слова «password» система
также деактивировала отображение печатных элементов с целью сохранить
приватность вводимого пароля.
5
https://kas.pr/h6w7
6
https://kas.pr/x45z
23
Мобильные угрозы
для финансовых учреждений
Банковские троянцы Количество обнаруженных установочных пакетов мобильных банковских троянцев
составило 69 777 в 2019 году, что в два раза меньше, чем в 2018.
За отчётный период 2019 года вирусные
аналитики «Лаборатории Касперского» Несмотря на это, доля банковских троянцев в составе всех обнаруженных мобиль-
обнаружили 69 777 «установочных» паке- ных угроз в 2019 году незначительно увеличилась, что можно связать с тем, что ак-
тов для мобильных банковских троянов. тивность вирусописателей других семейств и классов зловредного ПО снизилась.
Стоит отметить то, что данные операции стали возможны исключительно благо-
даря Accessibility Services в Android (они были созданы разработчиками Android
для помощи людям с инвалидностью), с помощью которых одно приложение может
активно взаимодействовать с интерфейсом другого.
24
Криминальные группировки,
специализирующиеся на атаках
на банковский сектор
FIN7 По факту количество групп, действующих по тому же шаблону, что FIN7
и CobaltGoblin, выросло: сейчас в мире существует несколько взаимосвязанных
В 2018 Европол и Министерство юстиции преступных организаций, использующих очень схожий программный арсенал
США заявили об аресте лидера кибер- и идентичную инфраструктуру.
преступных группировок FIN7 и Carbanak/
CobaltGoblin. Некоторые полагали, что
этот арест станет серьезным ударом по Первая упомянутая группа — получившая широкую известность FIN7, специализи-
деятельности злоумышленников, однако рующаяся на атаках различных компаний с целью получения доступа к их финансо-
эти надежды не оправдались. вым данным и POS-инфраструктуре. Эти мошенники используют JScript-бэкдор
Griffon, Cobalt/Meterpreter, а в самых недавних атаках — ещё и PowerShell Empire.
В середине 2019 года FIN7 залегла на дно, но в конце года снова заявила о себе,
осуществив новые атаки с использованием новых инструментов. Мы подозреваем,
что период бездействия группировки был связан с отключением их инфраструкту-
ры в связи с закрытием в Восточной Европе bulletproof-хостинга.
25
Интересные случаи мошенничества,
обнаруженные Kaspersky Fraud
Prevention
Использование SIM-карт
для мошенничества
Одним из наиболее распространённых Этот вид мошенничества стал возможен благодаря тому, что для получения карты
случаев социальной инженерии, нет необходимости в физическом присутствии пользователя, а также существуют
обнаруженных Kaspersky Fraud автоматы выдачи, с помощью которых можно с лёгкостью перевыпустить карту. Таким
Prevention в регионе Латинской образом, злоумышленники получают возможность массово перехватывать второй
Америки, является повторная выдача
фактор аутентификации клиента банка и, получив доступ к онлайн-сервису, перечис-
SIM-карт.
лять деньги из личного кабинета пользователя на свой счёт.
26
Страна* %** В Топ-10 стран с наибольшей долей пользователей, атакованных финансовыми вре-
доносными программами, на первом месте оказались Китай и Беларусь (2,3%), затем
Китай 2,30 Венесуэла (2,2%) и Южная Корея (2,1 %).
Беларусь 2,30
Венесуэла 2,20
Использование городской
Южная Корея 2,10
инфраструктуры
Сербия 1,80
Греция 1,70 Публичный доступ в интернет раньше можно было найти в аэропортах, отелях
Камерун 1,60 и крупных сетевых кофейнях. Сегодня даже городские парки, автобусы и метро дают
возможность людям подключаться к общественному Wi-Fi. Для мошенников это акту-
Индонезия 1,50 ально с точки зрения IP-адреса.
Пакистан 1,50 Важно также упомянуть о сервисах (рис. 18) , предлагающих пользователям одно-
разовые виртуальные номера, где пользователи могут за 1 рубль получить номер
Россия 1,40
для приема верификационного SMS (cервис предоставления виртуального номера
onlinesim.ru).
Это крайне популярный инструмент для мошенников, потому что им даже не нужно
* Страны, в которых число пользователей ре- раскрывать свой номер телефона для подключения к публичной точке доступа Wi-FI.
шений безопасности Kaspersky относительно
невелико (менее 10 000), исключаются из
рейтинга. В случае, обнаруженном Kaspersky Fraud Prevention, мошенник использовал го-
** Доля уникальных пользователей, подвергшихся родскую инфраструктуру (в данном случае сеть Wi-Fi в метро), чтобы скрыть свои
атакам, по отношению ко всем пользователям действия. Однако с помощью анализатора Kaspersky Fraud Prevention была замечена
решений безопасности Kaspersky в стране. мошенническая активность в рамках устройства и диапазона IP-адреса. В среднем
в день с этого устройства заходило около 150 пользователей, все они выполняли
схожие действия: заходили в интернет-магазин, оставляли товар в корзине, получая
промокод впоследствии.
18
27
В таблице отражается количество уни-
Session_
кальных пользователей и их сессий в день Date User_Count ISP
в рамках указанной аномалии. Count
Metropolitan branch of OJSC
2019-06-09 35 38
MegaFon AS25159 31.173.80.0/21
28
Наши руки не для скуки, или
крадём вручную
В одном из крупных онлайн-магазинов электронной коммерции система Kaspersky
Fraud Prevention зарегистрировала увеличение числа пользователей с одного устрой-
ства. Сначала с устройства было зарегистрировано всего четыре учётных записи,
впоследствии стали появляться всё новые и новые, сначала 14, затем 100 и больше.
19
Количество учётных записей
29
Модели движения в течение сеанса для всех пользователей были чрезвычайно похо-
жи. Конечная цель злоумышленников состояла в том, чтобы воспользоваться преиму-
ществами системы бонусов: мошенники помещали товары, в которых они были якобы
заинтересованы, в корзину и никогда не покупали их, ожидая появления промокода
скидки в своем почтовом ящике. Выяснилось, что злоумышленники планировали пере-
распределить продукты и рекламные коды в интернете для получения дохода.
20
Количество сессий
Credential Stuffing
Credential stuffing – Регулярная проверка учётных записей становится обычной для цифровых каналов
вид кибератаки, при которой обслуживания. В 2019 году сервис Kaspersky Fraud Prevention регулярно выявлял атаки
злоумышленник, используя украденные с использованием украденных учётных данных. Объем проверок по учёткам обычно
данные, пытается получить доступ небольшой и составляет несколько тысяч на одну атаку, однако в некоторых случаях
к аккаунтам (учётным записям) проверке подвергались десятки тысяч ученых записей.
пользователей путем автоматического
перебора регистрационных данных
(логин/пароль) при попытке авторизации При этом мошенники преследуют несколько целей: валидация учёток для после-
на какой-либо платформе.* дующей перепродажи, сбор дополнительной информации о владельце учётной
записи (номер телефона, адрес и т.д.) для пополнения своей базы дополнительными
сведениями, нанесение финансового ущерба за счёт роста расходов на отправку
второго фактора аутентификации через SMS и, наконец, отказ в обслуживании за счёт
большого количества авторизационных запросов ботнета.
* https://kas.pr/xq8d
30
Отмывание денег и мошенничество
в финансовом секторе
Отмывание денег – ещё одна остро стоящая проблема, связанная с предоставлением
финансовых услуг, а также с криптовалютами и обменами. Для сложных схем отмы-
вания денег, которые обычно включают размещёние незаконно полученных средств,
распределение по слоям и интеграцию или снятие денег, мошенники используют
инструменты автоматизации, прокси-серверы, инструменты удалённого администри-
рования и браузеры TOR, чтобы замести следы и остаться анонимнымиили не попасть
в выявленную ранее дроп-сеть. Наша команда аналитиков пришла к выводу, что рост
попыток отмывания денег в 2019 году связан с продолжающимся сокращением ко-
личества банков на территории РФ, с доступностью инструментов мошенничества в
интернете (отмывка и мошенничество как сервис), а также с количеством утечек лич-
ных данных клиентов банков и их распространением в интернете. Попытки отмывания
денег увеличились на 181,5% в 2019 году.
21
31
Почему необходимо бороться
с мошенничеством?
К настоящему времени совершенно ясно, что для предотвращения мошеннических
действий, обеспечения сохранности бонусных баллов и безопасности программ
лояльности принципиально необходимо вести мониторинг пользовательской актив-
ности и обнаруживать корреляцию между устройствами и покупателями.
22
32
Вторым примером можно привести случай, когда клиент не использует сессионный
анти-фрод (рис. 23). Как видно на иллюстрации, мошеннические кластеры имеют
гораздо большие размеры. Сеть из трех устройств содержит 2650 пользователей, а
сеть из десяти устройств может поддерживать вплоть до 65 000 пользователей. Мо-
шенническая сеть, обнаруженная сессионным анти-фрод решением Kaspersky Fraud
Prevention (рис.22), была создана в 2018 г. и прошла через масштабное расширение,
результатом которого стали тысячи синтетических учётных записей.
23
33
Предсказания по трендам
кибермошенничества на 2020 год
Мошенничество как сервис Дальнейшее развитие Fraud as a service как по вертикали (рост количества постав-
щиков идентичных услуг) так и по горизонтали (рост видов услуг), развитие рынков
цифровых отпечатков, улучшение ПО, используемого мошенниками (анонимайзеры
и боты), в финансовом секторе социальная инженерия останется главным инстру-
ментом мошенничества, в рамках которой будет использоваться подмена входящего
номера, IVR, RAT. В сфере электронной коммерции при наличии программ лояльности
мошенники все так же будут искать ошибки в дизайне программ лояльности с целью
выявления мест, позволяющих обогатиться. В сфере электронных услуг от государ-
ства останется проблема, связанная с кражей личности, персональных данных и неле-
гитимного заказа услуг.
Перепродажа доступа В течение 2019 года мы были свидетелями случаев, когда группы, которые специализи-
к банковским системам руются на целенаправленных атаках на финансовые учреждения, появлялись в сетях
жертв после вторжений других групп, которые специализируются на продаже доступа
rdp / vnc, таких как FXMSP и TA505. Эти факты также подтверждают подпольные фору-
мы и чат-мониторинг.
Ransomware атакует банки Этот прогноз логически следует из предыдущего. Как уже упоминалось выше, не-
большие финансовые учреждения часто становятся жертвами оппортунистических
киберзлоумышленников. Если эти злоумышленники не могут перепродать доступ или
даже если возможность, что они смогут снять деньги, становится менее вероятной,
то наиболее логичной монетизацией такого доступа является вымогательство. Банки
относятся к тем организациям, которые с большей вероятностью заплатят выкуп, чем
допустят потерю данных, поэтому мы ожидаем, что число таких целевых атак вымога-
телей продолжит расти в 2020 году.
Глобальная экспансия троянов Наши исследования и мониторинг подпольных форумов позволяют предположить, что
мобильного банкинга: результат исходный код некоторых популярных троянов мобильного банкинга попал в открытый
утечки информации доступ. Учитывая популярность таких троянов, мы ожидаем повторения ситуации,
когда произошла утечка исходного кода троянов ZeuS и SpyEye: количество попыток
атаковать пользователей в разы увеличится, а география атак расширится почти
до каждой страны в мире.
Инвестиционные приложения Мобильные инвестиционные приложения становятся всё более популярными среди
на подъеме: новая цель для пользователей по всему миру. Эта тенденция не останется незамеченной киберпре-
злоумышленников ступниками в 2020 году. Учитывая популярность некоторых финтехкомпаний и бирж
(как для реальных, так и для виртуальных денег), кибермошенники поймут, что не все
из них готовы бороться с массовыми кибератаками, так как в некоторых приложе-
ниях по-прежнему отсутствует базовая защита учётных записей клиентов, а также
не предусмотрена двухфакторная проверка подлинности или закрепление сертифи-
катов для защиты взаимодействия приложений. В некоторых странах правительства
дерегулируют эту область, и новые игроки появляются каждый день, очень быстро
становясь популярными. Фактически мы уже видели попытки кибермошенники заме-
нить интерфейсы этих приложений своими вредоносными версиями.
34
Magecarting 3.0: ещё больше За последние пару лет JS Skimming приобрел огромную популярность среди злоу-
криминальных группировок и атак мышленников. К сожалению, мошенники теперь имеют огромные возможности для
на облачные сервисы атак, включая уязвимые сайты электронной коммерции и чрезвычайно дешевые
инструменты JS-скиммера, доступные для продажи на различных форумах, начиная
от 200 долларов. На данный момент мы можем выделить как минимум 10 различных
участников этих типов атак, и мы считаем, что их число будет расти в течение следую-
щего года. Наиболее опасным атакам подвергнутся организации, которые предостав-
ляют такие услуги, как электронная коммерция, что приведет к компрометации тысяч
компаний.
7
https://kas.pr/h227